网络安全分类分级运营体系建设与应用

网络安全分类分级运营体系建设与应用

杨瀚博

大庆油田有限责任公司第七采油厂数字化运维中心 163517

摘要：随着智慧矿山概念的深入实践，矿山生产网络正在经历一场从传统封闭型向现代开放型的转变。这种转变使得矿山生产能够利用通用的硬件、软件以及网络协议，从而极大地提升了生产效率和灵活性。然而，这种开放也带来了诸多安全风险，包括但不限于病毒、木马、网络侵入、以及APT（高级持续性威胁）攻击等，这些安全威胁不仅能够迅速地在工业控制网络中传播，还可能导致严重的后果。因此，本文将对网络安全分类分级运营体系建设与应用效果进行探讨。

关键词：网络安全；分类分级；运营体系；建设与应用

前言：通过构建一个多层次、全方位的网络安全防护体系，能有效地降低因网络安全风险导致的损失，确保矿山生产的稳定和煤炭行业的高质量发展。这样的努力，将使矿山企业不仅能够应对当前的安全挑战，而且也能够为未来可能出现的新型威胁做好准备。在智慧矿山建设的大潮中，这种全面的网络安全防护策略，是保障生产安全、促进企业可持续发展的关键所在。

一、网络安全分类分级运营体系结构

（一）基础防护

为了增强智能矿井和智慧矿井工业控制系统网络的整体安全性，关键在于系统地构建和优化一系列安全防护措施。这包括实现网络安全区域之间有效的边界隔离，以确保潜在威胁不能轻易穿越区域界限。同时，网络流量的监控和审计工作也不容忽视；这不仅有助于及时发现异常行为，还能为可能的安全事件提供重要线索。网络攻击检测系统的部署是监测并防御外来威胁的第一道防线，要结合主机安全防护措施，如定期更新主机防疫软件，可以有效阻断恶意软件和病毒的侵袭[1]。而网络主机的日志收集功能，对于记录每一项操作细节，提供事后分析和审计至关重要。此外，漏洞的及时发现和修补，是防止安全威胁利用系统弱点的重要手段。实施安全设备的统一管理，则通过集中监控和控制，实现对整个网络安全态势的全面把握，确保各项安全防掤措施的有效执行。

（二）统一化安全运营

为提高网络安全管理的效率和效果，采取了一系列先进的策略和技术。首先，将所有安全系统的数据统一收集并集中存储，这一举措有助于消除安全系统之间的信息孤岛现象。通过筛选这些海量信息，剔除无关数据，保证关键的安全警报能够及时发出。此外，运用关联分析和机器学习的技术手段，能够识别出那些不易被发现的安全威胁。结合大数据的处理能力和实时计算功能，可以将当前的安全状况通过可视化方式呈现出来。这不仅帮助管理者明确掌握攻击来源和内部异常行为的特点，还能针对现有的安全风险进行即时响应和预警，实现安全管理的可视化、可知性和可控性。此外，建立与安全运营相配套的威胁分析机制，能够形成一整套完善的网络安全管理流程，包括监控、预警、处理、调查和强化等环节，实现安全工作的全面协同。通过构建一个以实战为导向的安全运营平台，将技术、人员、规章和流程紧密结合，从而形成一个安全事件应对的完整闭环[2]。

二、网络安全分类分级运营体系建设关键技术

（一）安全数据建模技术

为了深入理解业务操作与数据之间的相互影响，企业可以依托于实际的业务流程和安全实践，采用了与企业的业务流程高度契合的数据分析和建模工具。这一举措使企业得以构建智慧矿山生产业务的详细模型。通过这一过程，企业不仅精细化地区分了不同地理位置和不同业务场景下的业务生产网络，还实现了对这些网络的有效分类和分层，从而为进一步的数据分析与业务优化提供了坚实的基础。

（二）大数据关联分析技术

煤矿企业面对的网络安全挑战主要表现在每天都有大量的防护告警日志需要处理，为高效管理这些数据并迅速识别其中的安全隐患，采取了一种基于CART算法的方法，用以增强和分类日志数据。同时，改进了Shadow Paging技术以提高数据落盘的效率，并采用了EPL和CEP相结合的混合并行策略进行数据的关联分析。具体做法包含几个步骤：通过流量采集、日志保存以及网络和数据库的审计工具，收集了来自各类安全设备的告警和日志信息，并对这些信息进行了细致的切割和丰富处理。紧接着，对数据类型进行了分析和映射分类，并根据数据量采用了动态合并策略，同时考虑到计算单元的能力进行了合理的预处理流分配。
    然后，总结出了事件检测的逻辑，并将其转换为事件处理语言EPL。之后，将EPL嵌入到CEP规则引擎并执行，通过CEP引擎输出的信息最终被告警系统接收并记录入库。这一系列的安全数据实时关联分析技术的应用，使得煤矿企业能够充分发挥出标准服务器的计算能力，实现了从数据解析、丰富化、关联分析到告警生成的全流程处理。这不仅帮助从众多告警中快速定位到真正的安全事件，发现潜在的威胁，而且还显著提高了检测的精确度和运营效率。

（三）基线技术

在智慧矿山的生产现场中，与传统的TCP/IP通信协议不同，场控设备（即工业控制设备）通常采用特定的工业控制协议进行数据传输。这些设备发出的工艺操作指令难以被常规网络安全工具捕捉和识别，因此成为数据采集和处理的一大挑战。为了有效监控和保护这些关键的工艺操作指令，技术团队采取了一系列精确且有效的手段。技术人员对现场使用的设备型号和系统进行了全面调研，并详细梳理了数据传输的方式。通过分析通讯流量，他们能够精确提取出工业操作过程中的具体指令。这些指令经过深入的研究分析和分类处理后，被标准化并导入到专门的分析平台中

[3]。
    除此之外，团队还考虑到了实际业务使用中的变化和需求。他们结合人工判断与机器学习技术，对工业生产设备的工作周期进行了综合性的分析和归纳，从而制定出了与业务要求相匹配的工作计划周期基线。这一做法在确保生产计划的可靠执行方面起到了关键作用，有效预防了非计划内操作的执行，避免了可能因此而引发的重大生产安全事故。通过这一整套策略的实施，不仅提高了对工艺操作指令的监控能力和安全防护水平，还保证了生产过程的顺畅和安全。这种方法的应用，充分体现了现代智慧矿山在保障生产安全和提高效率方面的创新性思维和技术实践能力。

三、网络安全分类分级运营体系应用效果

黄陵矿业针对其整个网络系统进行了精细的分类与分级管理，促成了集团及旗下单位智能矿井和智慧矿区的顺利建立。该过程中，根据等级保护的要求，共完成了27个系统的建设，月平均处理各类安全事件18起。这标志着黄陵矿业成功构建了一个以体系化的安全建设、实战化的安全运行、以及常态化的安全防护为核心特征的网络安全能力体系。进一步，黄陵矿业建立了一个集成化、自我可控的安全监测和防御系统，实现了安全态势的全面可知、可视、可管理、可防护和可控制。这一全方位的安全保障措施，不仅保障了业务流程和设备的安全运行，而且还实现了业务系统的持续稳定运行，无故障时间达到了275天。这些努力和成果为黄陵矿业加速矿山智能化建设提供了坚实和有效的技术支持。

结语：构建的分级运营体系，把智慧矿山中至关重要的工业资产放在了核心位置，同时将安全事件的告警和分析作为主要工作流。这一体系的目的是对整个网络的安全风险进行不间断的监控，确保能够实现对安全设备的集中控制、对日志数据的统一收集以及对潜在威胁的分析和处理。通过这样的做法，业务系统的安全得到了全方位的保障。
参考文献：

[1]马开萍,许国栋,顾亮,等.数字生态建设的数网业安全一体化融合研究[J].网络安全与数据治理,2024,43(04):28-34.

[2]黄伟,刘波.网络安全分类分级运营体系建设与应用[J].智能矿山,2024,5(04):52-57.

[3]白彦茹.工业互联网企业网络安全分类分级防护探索[J].工业信息安全,2023,(06):80-87.

作者简介：杨瀚博，性别：男，民族：汉，籍贯：甘肃省酒泉市，出生年月：19920320，文化程度：大学本科，研究方向：计算机网络、网络安全、服务器 .